INFORME FINAL AUDITORÍA INTERNA DE GESTIÓN AL CPR 39. …shd.gov.co/shd/sites/default/files/files/despacho... · 2019-06-06 · página 1 de 43 71-f.05 v.5 secretarÍa distrital

Página 1 de 43

71-F.05 V.5

SECRETARÍA DISTRITAL DE HACIENDA

DESPACHO DEL SECRETARIO DE HACIENDA

OFICINA DE CONTROL INTERNO

INFORME FINAL

AUDITORÍA INTERNA DE GESTIÓN AL CPR 39. ADMINISTRACIÓN DEL

SISTEMA DE INFORMACIÓN TRIBUTARIA Y CPR 65 GESTIÓN DE SERVICIOS

DE TIC

Código 02

Bogotá D.C., febrero de 2019

Página 2 de 43

71-F.05 V.5

Secretaria Distrital de Hacienda Beatriz Elena Arbelaez Martínez

Jefe de la Oficina de Control Interno Allan Maurice Alfisz Lopez

Equipo Auditor Irmis Soraya Maldonado Serrano

Auditor

Luz Adriana Ávila Uribe

Auditor

Mireya Daza Díaz

Auditor

Oscar Ramírez

Apoyo Técnico

Víctor Manuel Hernández Herrera

Auditor

Lorena Forestieri Rojas

Auditor Líder

Página 3 de 43

71-F.05 V.5

CONTENIDO CONTENIDO ..................................................................................................................................... 3

INTRODUCCIÓN .............................................................................................................................. 4

1. PLAN DE AUDITORÍA ............................................................................................................ 5

Objetivo General ........................................................................................................................ 5

Objetivos Específicos: ................................................................................................................ 5

Alcance....................................................................................................................................... 6

Criterios ...................................................................................................................................... 6

2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA AUDITORÍA ........... 6

Desarrollo de la auditoría ........................................................................................................... 6

Metodología ............................................................................................................................... 7

Solicitud de Información ............................................................................................................ 7

3. INFORME DE GESTIÓN Y RESULTADOS .......................................................................... 8

3.1. HALLAZGOS / OBSERVACIONES .................................................................................... 8

3.1.1. Desarticulación de la información entre las bases de usuarios administrada por la

Subdirección de Talento humano, la Dirección de Informática y Tecnología, Dirección Jurídica y la

Dirección de Impuestos de Bogotá. .................................................................................................... 9

3.1.2. Se observa incumplimiento en los controles establecidos para suspender los accesos a los

sistemas de información de la Secretaría Distrital de Hacienda, ante las novedades administrativas.

27

3.1.3. Incumplimiento del numeral 5.2 del Manual del Subsistema de Gestión de Seguridad de

la Información, MN-05 ..................................................................................................................... 30

4. CONCLUSIONES ................................................................................................................... 42

5. SUGERENCIAS / RECOMENDACIONES ........................................................................... 42

Página 4 de 43

71-F.05 V.5

INTRODUCCIÓN

La Oficina de Control Interno, en desarrollo de lo previsto en los artículos 209 y 269 de la

Constitución Política, en la ley 87 de 1993 y demás normas que la complementan y

desarrollan y en virtud de lo programado en el Plan Anual de Auditoria para la vigencia

2018, realizó la auditoría de gestión al proceso de “Administración del Sistema de

información Tributaria y CPR-65 Gestión de Servicios de TIC”, con el propósito de

evaluar la gestión de usuarios, roles, privilegios y claves en los aplicativos de la Dirección

de Impuestos de Bogotá y sus respectivos controles. Este documento presenta el informe

resultante de la auditoria; contiene aspectos administrativos, normativos, hechos relevantes

y oportunidades de mejora, asimismo, se definen aspectos para dar cumplimiento a lo

establecido en el artículo 2° de la Ley 87 de 1993, literales “a. Proteger los recursos de la

organización, buscando su adecuada administración ante posibles riesgos que lo afecten y

f. Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones

que se presenten en la organización y que puedan afectar el logro de sus objetivos”. Para

el desarrollo de la auditoria fueron tenidas en cuenta las normas de auditoría generalmente

aceptadas, de acuerdo con lo establecido en el procedimiento de Gestión 71-P-02.

Tabla 1: Marco normativo Referente Descripción

Ley 1273 de 2009

(Congreso de la República de

Colombia, 2009)

A través de esta Ley se crearon nuevos tipos penales relacionados con delitos

informáticos y la protección de la información y de los datos con penas de

prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales

mensuales vigentes.

Decreto 1499 de 2017

(Presidencia de la República

de Colombia, 2017)

Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único

Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de

Gestión establecido en el artículo 133 de la Ley 1753 de 2015.

CONPES 3701

(Departamento Nacional de

Planeación, 2011)

Lineamientos de política en ciberseguridad y ciberdefensa orientados a

desarrollar una estrategia nacional que contrarreste el incremento de las

amenazas informáticas que afectan significativamente al país. Adicionalmente,

recoge los antecedentes nacionales e internacionales, así como la normatividad

del país en torno al tema.

CONPES 3854

(Departamento Nacional de

Planeación, 2016)

Política Nacional de Seguridad digital. Establece un marco institucional claro

en torno a la seguridad digital. Se crean las condiciones para que las múltiples

partes interesadas gestionen el riesgo de seguridad digital en sus actividades

socioeconómicas y se genere confianza en el uso del entorno digital, mediante

mecanismos de participación y permanente, la adecuación del marco legal y

regulatorio de la materia y la capacitación para comportamientos responsables

en el entorno digital. Fortalecer la defensa y seguridad nacional en el entorno

digital, a nivel nacional y trasnacional, con un enfoque de gestión de riesgos.

Finalmente, generar mecanismos permanentes para impulsar la cooperación,

colaboración y asistencia en materia de seguridad digital, a nivel nacional e

internacional, con un enfoque estratégico.

Página 5 de 43

71-F.05 V.5

Guía No. 7 gestión de riesgos

(Ministerio de Tecnologías de

la Información y las

Comunicaciones, 2016a)

Marco de trabajo para la gestión de riesgos del Modelo de Seguridad y

Privacidad de la Información -MSPI- (MinTIC, 2016). A través de esta guía se

busca orientar a las Entidades a gestionar los riesgos de Seguridad de la

información basado en los criterios de seguridad (Confidencialidad,

Integridad, Disponibilidad) buscando la integración con la Metodología de

riesgos del DAFP.

Guía para la administración

del riesgo y el diseño de

controles en entidades

públicas

(DAFP, 2018)

Guía que unificar la metodología existente para la administración del riesgo de

gestión y corrupción, con el fin de hacer más sencilla la utilización de esta

herramienta gerencial para las entidades públicas y así evitar duplicidades o

reprocesos.

Manual de Gobierno digital

(Ministerio de Tecnologías de

la Información y las

Comunicaciones, 2018)

Manual que permite la adopción de la política de Gobierno Digital establecida

en el Decreto 1008 de 2018, que modifica el Decreto 1078 de 2015 libro 2,

parte 2, título 9. Cap. 1. Dicha política forma parte del Modelo Integrado de

planeación y Gestión (MIPG) y se integra con las políticas de Gestión y

Desempeño Institucional en la dimensión operativa de Gestión para el

Resultado con Valores.

Modelo de Gestión de

Riesgos de Seguridad Digital

(MinTIC, 2017)

Elaborado como respuesta a lo definido en la estrategia E.1.2 del documento

CONPES 3854 y su plan de acción y seguimiento (PAS).

1. PLAN DE AUDITORÍA

El plan de auditoría fue presentado el 26 de septiembre de 2018, a los responsables de los

procesos y sus respectivos colaboradores, el plan fue aceptado por las partes y se procedió

a su firma.

Como parte del plan de auditoría se definió los objetivos, alcance y criterios:

Objetivo General

Evaluar la gestión de usuarios, roles, privilegios y claves en los aplicativos de la Dirección

de Impuestos de Bogotá, con el fin de verificar la existencia y eficacia de los controles.

Objetivos Específicos:

1. Identificar y verificar la asignación de usuarios y roles, con sus respectivos

controles, de los aplicativos de la Dirección de Impuestos de Bogotá, según los

privilegios asignados a los usuarios (funcionarios, contratistas y Entes de

Control).

2. Verificar la gestión de roles ante las situaciones administrativas de los usuarios

(funcionarios, contratistas y Entes de Control).

Página 6 de 43

71-F.05 V.5

3. Verificar el uso de los privilegios y roles asignados a los usuarios de los

aplicativos de la Dirección de Impuestos de Bogotá.

4. Evaluar los riesgos asociados a los procesos CPR-39 Administración del Sistema

de Información Tributaria y CPR-65 Gestión de Servicios de TIC.

Alcance

La Auditoría abarcará la gestión de usuarios, roles y privilegios de los aplicativos de la

Dirección de Impuestos de Bogotá, en el periodo comprendido entre el 2 de noviembre de

2015 al 31 de agosto de 2018, mediante metodologías de muestras seleccionadas de

manera aleatoria.

Criterios

✓ Ley Estatutaria 1581 de 2012, Por la cual se dictan disposiciones generales

para la protección de datos personales.

✓ Decreto Reglamentario 1377 de 2013 Por el cual se reglamenta parcialmente la

Ley 1581 de 2012.

✓ Resolución 305 de 2008 de la Comisión Distrital de Sistemas, la Estrategia de

Gobierno en Línea del Ministerio de Tecnologías de la Información y las

Comunicaciones (MINTIC).

✓ POL-05 Políticas de Seguridad y Privacidad de la Información de la SDH

✓ POL-07 Política Integral de Administración de Riesgos de la SDH

✓ Instructivo 39-I-03 Gestión, Seguimiento y Control en la Asignación de

Usuarios, Roles y Privilegios

✓ Y demás normas vigentes que apliquen al desarrollo de la auditoría

2. ASPECTOS DESTACADOS DURANTE EL DESARROLLO DE LA

AUDITORÍA

Para el desarrollo de la auditoría se destaca los siguientes aspectos:

Desarrollo de la auditoría

Previo y posterior al plan de auditoría aprobado por parte del jefe de la Oficina de

Control Interno, y firmado por las partes, se realizaron diferentes actividades en

caminadas al desarrollo proactivo de la auditoría:

Tabla 2: Desarrollo de la auditoría Fecha Actividad

12/09/2018 Acercamiento inicial, con equipo de la Dirección de Informática y Tecnología

14/09/2018 Reunión para la elaboración del plan de auditoría con el equipo auditor

Página 7 de 43

71-F.05 V.5

18/09/2018 Continuación de la reunión para la elaboración del plan de auditoría

20/09/2018 Capacitación con la Subdirección de Servicios TIC, en el procedimiento de roles, usuarios y

privilegios.

20/09/2018 Capacitación con la Oficina Administración Funcional del Sistema, en el procedimiento de roles,

usuarios y privilegios en el SIT II.

26/09/2018 Apertura de la auditoria

26/09/2018 Requerimiento de información a la Subdirección de Talento Humano, Subdirección de Asuntos

contractuales, Dirección de Informática y Tecnología y a la Dirección de Impuestos de Bogotá

Del 1 oct al 16

de enero 2019

Recopilación de la información, cruce de base de datos, revisión de carpetas de funcionarios de la

DIB, revisión de carpetas de Contratistas de la DIB, elaboración de informe.

Metodología

La auditoría se llevó a cabo de acuerdo con las normas de auditoría generalmente

aceptadas y el procedimiento 71-P-02 de “Auditoría de Gestión” establecido por la

Oficina de Control Interno de la Secretaria Distrital de Hacienda. Las técnicas de

auditoría utilizadas en la presente auditoría son: reuniones con los responsables de las

áreas auditadas, entrevistas con funcionarios, revisión y cruce de información, revisión

documental, cruce de bases de datos, verificaciones aleatorias de usuarios del

aplicativo SIT II y las demás que se requieran durante la ejecución de esta. Lo anterior

se realizó con información seleccionada bajo técnicas no probabilística a conveniencia,

partiendo de la información que fue suministrada por las dependencias.

Solicitud de Información

Para el desarrollo de la auditoría inicialmente se efectuó solicitud de información

mediante los siguientes números de Cordis y correos electrónicos:

Tabla 3: Requerimiento de información. Fecha de

solicitud Cordis Dependencia Requerimiento Respuesta

26/09/2018 2018IE25212 Subdirección de

Talento Humano

Relación de los funcionarios adscritos

a la Dirección de Impuestos de

Bogotá, desde el 1 de agosto de 2016 a

31 de agosto de 2018

Documento de constancia de entrega

de los funcionarios retirados y encargo

desde el 1 de agosto de 2016 a 31 de

agosto de 2018

Documento de notificación de

situación administrativa desde el 1 de

agosto de 2016 a 31 de agosto de

2018, exceptuando incapacidades,

vacaciones y licencias menores a 3

días

Por correo electrónico, 8

días después de la fecha

límite para la entrega de

la información

(10/10/2018)

La Subdirección de

Talento Humano no

entregó toda la

información solicitada.

Página 8 de 43

71-F.05 V.5

26/09/2018 2018IE25207

Subdirección de

Asuntos

Contractuales

Relación de los contratistas adscritos a

la Dirección de Impuestos de Bogotá,


agosto de 2018

Documento de constancia de

terminación de contrato para los casos

a los que haya lugar, (paz y salvo)


agosto de 2018

Por correo electrónico el

3/10/2018 y con el cordis

2018IE26085 del

03/10/2018,

Entrega de la información

de forma oportuna

26/09/2018 2018IE25206

Dirección de

Informática y

Tecnología

Inventario de los aplicativos vigentes

funcionales de la Dirección de

Impuestos de Bogotá

Inventario de roles y privilegios

Por correo electrónico del

05/10/2018 y por cordis

del 03/10/2018 entregado

a la oficina el 05/10/2018

26/09/2018 2018IE25209

Dirección de

Impuestos de

Bogotá

Acceso de consulta sin restricción al

Módulo de Actos Oficiales, Sistema de

Información Tributaria SIT II,

ECLIPSE Y RIT

Inventario de los aplicativos vigentes

funcionales de la Dirección de

Impuestos de Bogotá

Inventario de roles y privilegios

Relación de los tickets generados por:

Creación, adición y/o cambios en los

roles y privilegios desde agosto de

2016 a agosto 2018

Por correo electrónico de

forma oportuna.

(03/10/2018)

11/12/2018 Correo

electrónico

Dirección de

Informática y

Tecnología

Solicitud de logs de auditoría Correo electrónico del

08/01/2019.

11/12/2018 Correo

electrónico

Dirección de

Impuestos de

Bogotá

Aclaración de información en cuanto a

los privilegios asociados a los roles

Correo electrónico del

28/12/2018

3. INFORME DE GESTIÓN Y RESULTADOS

3.1. HALLAZGOS / OBSERVACIONES

La información remitida por los procesos objeto de esta auditoría fue analizada en virtud

de los objetivos definidos para su desarrollo, así:

Objetivo 1: Identificar y verificar la asignación de usuarios y roles, con sus

respectivos controles, de los aplicativos de la Dirección de Impuestos de Bogotá,

según los privilegios asignados a los usuarios (funcionarios, contratistas y Entes de

Control).

Página 9 de 43

71-F.05 V.5

3.1.1. Desarticulación de la información entre las bases de usuarios administrada por

la Subdirección de Talento humano, la Dirección de Informática y Tecnología,

Dirección Jurídica y la Dirección de Impuestos de Bogotá.

Al cotejar las bases de datos correspondientes a los usuarios de los funcionarios de la

Dirección de Impuestos de Bogotá con 1051 registros correspondientes a las vigencias

2016, 2017 y 2018, provistas por la Subdirección de Talento Humano STH, la Dirección

Jurídica, la Dirección de Impuestos de Bogotá y la Dirección de Informática y Tecnología,

se identificó lo siguiente:

• La base de datos suministrada por la Subdirección de Talento Humano (STH) no

relaciona 74 cédulas que se encuentran en la base de la Dirección de Informática y

Tecnología (DIT), pertenecientes a funcionarios de planta de la DIB de las

vigencias 2016, 2017 y 2018. lo que evidencia desarticulación de la información

entre las 3 áreas, ver tabla 4:

Tabla 4: Resultado cruce de información entre las bases de la DIT y la STH

ÍTEM CEDULA ÍTEM CEDULA ÍTEM CEDULA

1 79288598 26 51690765 51 51566224

2 37525082 27 79614479 52 7125394

3 52901320 28 51822291 53 52499551

4 91295070 29 37618479 54 41774363

5 51586759 30 80723409 55 38287404

6 52501266 31 13839769 56 14231489

7 79746491 32 1019094298 57 91011786

8 52009456 33 19360979 58 19484716

9 52979785 34 19350198 59 79156606

10 79620072 35 10127951744 60 39362849

11 529118017 36 52885370 61 80413970

12 79113144 37 19470851 62 80761683

13 71144698 38 19498828 63 11344467

14 52548079 39 51974775 64 51664501

15 51903278 40 38538912 65 52819887

16 39752536 41 79464883 66 12972695

17 23621787 42 52263405 67 52529377

18 79701231 43 51918948 68 79732596

19 40216183 44 51746826 69 1070006038

20 51655449 45 51688294 70 79818754

21 1023880151 46 52666671 71 52348020

22 79262159 47 52271892 72 52381235

23 19261057 48 51670544 73 51822291

24 51690765 49 79311635

25 79614479 50 51737496

• Del cruce de información entre la base de usuarios de la DIT y la DIB, se identificó

que 72 usuarios de la DIB no se encuentran relacionados en la base de la DIB, lo

que evidencia desarticulación de la información entre las dos direcciones, ver tabla

5:

Página 10 de 43

71-F.05 V.5

Tabla 5: Resultado cruce de información entre las bases de la DIT y la DIB

No. CEDULA No. CEDULA No. CEDULA No. CEDULA

1 1127951744 19 79256093 37 51978226 55 32609996

2 1032409152 20 79233307 38 51942316 56 30746063

3 1024460926 21 74170178 39 51939770 57 28788427

4 1018412138 22 73138642 40 51874480 58 26666771

5 93413861 23 54254469 41 51871721 59 21178981

6 80352543 24 53032410 42 51870881 60 21074982

7 80171735 25 52966455 43 51670506 61 21057106

8 79979589 26 52911847 44 51665118 62 20975692

9 79910308 27 52860909 45 51625515 63 20140212

10 79879510 28 52750651 46 51550326 64 19450285

11 79844582 29 52527569 47 46664812 65 19415872

12 79745670 30 52507660 48 46386216 66 19394031

13 79745196 31 52346342 49 39688053 67 19359964

14 79739958 32 52290792 50 39523513 68 19265702

15 79647833 33 52263736 51 38280418 69 19224465

16 79410261 34 52217370 52 36310557 70 16548819

17 79394142 35 52165804 53 35497243 71 15305773

18 79256202 36 52016406 54 35331869 72 13015197

OBSERVACIÓN REALIZADA POR LA DIRECCIÓN DISTRITAL DE

IMPUESTOS:

De acuerdo con la observación de la Oficina de Control Interno: “Del cruce de

información entre la base de usuarios de la DIT y la DIB, se identificó que 72 usuarios de

la DIB que no se encuentran relacionados en la base de la DIB, lo que evidencia

desarticulación de la información entre las dos direcciones, ver tabla 5.(SIC)” Nos

permitimos precisar que una vez revisada la información relacionada en la tabla 5, de los

72 usuarios relacionados, 71 no estaban en la Base de Datos DIB toda vez que no cuentan

con roles asignados en el Sistema de Información Tributario, dado que a todos los usuarios

bajo la modalidad de contratación de Planta, Provisional o contratista no se les asigna roles

en SIT, toda vez que depende de las funciones inherentes al cargo y a las asignadas por el

jefe inmediato. Ver Tabla 5.

Página 11 de 43

71-F.05 V.5

USUARIO CEDULA RESPUESTA

1 ACBELTRAN 52860909

No se encuentran en la BD-DIB por no tener roles

asignados

2 ACTORRES 51665118

3 AHRODRIGUEZ 93413861

4 AIBAÑEZ 51625515

5 AJIMENEZ 52016046

6 APATINO 30746063

7 APOVEDA 21057106

8 AROSAS 52966455

9 AVALOYES 54254469

10 AYEPES 19415872

11 BANCOS14 20140212

12 BVARGAS 52911847 Está relacionada en la BD de la DIB enviada a Control

Interno

13 CIDIAZ 46664812

14 CMMORALES 46386216

15 CPALACIOS 21074982

16 DPINZON 74170178

17 DPINZON 79745670

18 EALVAREZ 1018412138

19 ECAMPOSF 35531869

20 EMENDOZA 1024460926

21 EPRADA 39523513

22 EROMERO 13015197 Se encuentra relacionado en la BD enviada a CI, usuario

eromero con la C.C. 13615197

23 ESALAMANCA 79233307


asignados

24 FCHAVEZ 16548819

25 FRODRIGUEZ 52217370

26 GAGARCIA 79910308

27 HAKLFONSO 79256202

28 HARAMIREZ 79410261

29 HBRICENO 52507660

30 HCASTIBLANCO 19394031

31 HROJAS 79256093

32 IBARERA 32609996

33 IMONDRAGO 1032409152

34 NIPRODRIGUEZ 52750651

35 JAMENDOZA 52527569

36 JARISTIZABAL 19450285

37 JHERRERA 39688053

38 JMAVENDANO 53032410

39 JORTIZS 80352543

40 KCONDE 36310557

41 KMARTUCCI 1127951744

Página 12 de 43

71-F.05 V.5

USUARIO CEDULA RESPUESTA

42 LJUNCO 80171735

43 LPENA 52346342

44 MALARCON 20975692

45 MALDANA 28788427

46 MAMADOR 19224465

47 MCANTILLO 26666771 Se encuentra relacionado en la BD enviada a Control

Interno

48 MCORREDOR 51939770 Se encuentra relacionado en la BD enviada a Control

Interno

49 MDELGADILLO 51870881 No se encuentra en la BD- DIB por no tener roles

asignados

50 MDIAZ 51871721 Se encuentra relacionado en la BD enviada a Control

Interno

51 MGOMEZV 51670506


asignados

52 MLOSORO 35497243

53 MMARTIN 51550326

54 MPSANCHEZ 52165804

55 NQUIMBAY 51978226

56 OBONILLA 51874480

57 OCUBILLOS 19359964

58 OFRANCO 38280418

59 OROJASH 21178981

60 ORPARRA 79647833

61 ORUEDA 79879510

62 OSANCHEZ 79979589 Se encuentra relacionado en la BD enviada a Control

Interno

63 OSANCHEZ 79394142 Oscar Sánchez Gaitán, está pendiente en la BD- BIB

64 OSUAREZC 79844582


asignados

65 OURIBE 79745196

66 PMARTINEZ 15305773

67 PVARGAS 73138642

68 RCASTILLO 19265702

69 SOCAMPO 52290792

70 SPSANCHEZ 51942316

71 VQUINTERO 52263736

72 YPULIDO 79739958

RESPUESTA DE LA OFICINA DE CONTROL INTERNO A LAS

OBSERVACIONES REALIZADAS POR LA DIB:

Analizadas las observaciones de respuesta al informe preliminar, la Dirección de

Impuestos de Bogotá no allegó argumentos técnicos y evidencias que desvirtúen el

hallazgo. Por lo anterior, el hallazgo se mantiene.

Página 13 de 43

71-F.05 V.5

Esto debido a que el hallazgo hace referencia a la desarticulación en la información que

suministraron las áreas responsables y en el análisis realizado se evidenciar inconsistencias

como se detallaron en este hallazgo, así mismo, en el momento de realizar la solicitud a la

Dirección de Informática y Tecnología el 25 de septiembre de 2018 se hizo referencia

específicamente a los usuarios, roles, privilegios y claves en los aplicativos de la DIB. Por

lo cual es importante resaltar que se debe realizar entre las áreas relacionadas en el

hallazgo acciones para la correcta articulación de la administración de los usuarios.

• La base suministrada por la Subdirección Jurídica (SJ) relaciona a 89 contratistas,

así: 6 contratistas de la vigencia 2016, 18 contratistas de la vigencia 2017 y 65

contratistas del 2018, esta base fue cruzada con las bases de la DIT y la DIB, se

identificó que 10 usuarios no se encuentran relacionados en ninguna de estas dos

bases, lo que evidencia desarticulación de la información entre las 3 áreas:

Tabla 6: Resultado cruce de información entre las bases de la DJ y las DIT y DIB

ÍTEM VIGENCIA CÉDULA

1 2016 93402096

2 2016 79622044

3 2016 79876179

4 2016 52460872

5 2016 79245606

6 2016 80525907

7 2017 93406130

8 2018 1072650607

9 2018 79539812

10 2018 1015433647


IMPUESTOS:

Así mismo, en relación con la afirmación: "La base suministrada por/a Subdirección Jurídica

(SJ) relaciona a 89 contratistas, así: 6 contratistas de la vigencia 2016, 18 contratistas de /a

vigencia 2017 y 65 contratistas del 2018, esta base fue cruzada con las bases de /a DIT y la

DIB, se identificó que 10 usuarios no se encuentran relacionados en ninguna de estas dos

bases, lo que evidencia desarticulación de la información entre las 3 áreas": Una vez revisada

la información relacionada en la tabla 6, encontramos que los 10 usuarios relacionados, no

estaban en la BD-DIB en razón a no tener roles asignados en el Sistema de Información

Tributario. Ver Tabla 6. Es pertinente aclarar que no a todo contratista se le asignan roles en

SIT, esto depende del objeto del contrato.

Página 14 de 43

71-F.05 V.5

Tabla 6 ÍTEM VIGENCIA CÉDULA RESPUESTA

1 2016 93402096

No se encuentran

en La BD- DIB

por no tener roles

asignados

2 2016 79622044

3 2016 79876179

4 2016 52460872

5 2016 79245606

6 2016 80525907

7 2017 93406130

8 2018 1072650607

9 2018 79539812

10 2018 1015433647



El equipo auditor realizó la revisión de cada uno de los objetos de contrato de los

servidores relacionados en la Tabla 6: “Resultado cruce de información entre las bases de

la DJ y las DIT y DIB”. Y según la revisión realizada los objetos de los contratos del ítem

1 al 9 no es necesaria la activación de roles en el SIT II, por lo cual se rectifica lo señalado.

Sin embargo el objeto del contrato de la cédula 1015433647 hace referencia a: “Prestar

servicios de apoyo operativo para la realización de las actividades de saneamiento

contable de la Subdirección de Recaudación, Cobro y Cuentas Corrientes de la Dirección

de Impuestos de Bogotá” y según la base de la DIT tiene relacionado el rol

“OCR2_CONEXION” del SIT II así mismo se identificó inconsistencia en el número de

cédula, la base de la DIT relaciona el número de cédula 1015433644 y la base de la SAC la

cédula 1015433647.

No obstante, es importante que se realice una verificación de las bases de datos de los

usuarios con roles en el SIT II, para depurar la información y esta sea consistente,

confiable y clara.

• Así mismo en el cruce de información realizado entre todas las bases de usuarios

suministradas por la Dirección de Informática y Tecnología, la Dirección de

Impuestos de Bogotá, la Subdirección de Talento Humano y la Subdirección de

Asuntos Contractuales, se observó que a 18 usuarios no se identifica el tipo de

vinculación con la entidad (planta, contratista, auditor de la Contraloría de Bogotá,

auditor de la Oficina de CI, (ver tabla 7), así:

Página 15 de 43

71-F.05 V.5

Tabla 7: Usuarios sin información del tipo de vinculación con la DIB. ÍTEM CEDULA USUARIO OBSERVACIONES

1 52666671 MCANTILLO No se evidencia el tipo de vinculación del usuario con la entidad según las

bases suministradas por la DIT, la DIB, la STH SAC (planta, contratista,

auditor de la CB, auditor de la OCI) se encuentran en el directorio activo.

2 7125394 NJCADENAC

3 38287404 OSANCHEZ

4 52979785 ATORRESA

No se evidencia el tipo de vinculación del usuario con la entidad según las

bases suministradas por la DIT, la DIB, la STH SAC (planta, contratista,

auditor de la CB, auditor de la OCI)

5 52186429 BVARGASH

6 80492116 CRODRIGUEZ

7 20584784 DMARTIN

8 39735440 GGARNICA

9 79431621 GPIMENTEL

10 80050521 HCELIS

11 19382242 JAESPITIA

12 79965574 JCORTESM

13 19498828 LFERNANDEZ

14 51688294 MARBELAEZ

15 51670544 MECASTROD

16 41774363 MIBELTRAN

17 36170452 MMEDINA

18 39753849 MMUNERA


IMPUESTOS:

Sin embargo, en relación con la manifestación de: "Así mismo en el cruce de información

realizada entre todas las bases de usuarios suministradas por la Dirección de Informática

y Tecnología, la Dirección de Impuestos de Bogotá, la Subdirección de Talento Humano y

la Subdirección de Asuntos Contractuales, se observó que a 18 usuarios no se identifica el

tipo de vinculación con la entidad (planta, contratista, auditor de la Contraloría de

Bogotá, auditor de la Oficina de CI", efectivamente, para algunos de los casos

relacionados, se identificó que no se encontraba el tipo de vinculación, ante lo cual se

procedió a realizar una depuración de la BD el día 8 de octubre de 2018.

CEDULA USUARIO OBSERVACIONES RESPUESTA

52.666.671 MCANTILLO

No se evidencia el tipo de

vinculación del usuario con la

entidad según las bases

suministradas por la DIT, la

DIB, la STH SAC (Planta,

contratista, auditor de la CB,

auditor de la OCI) encuentran

en el directorio activo.

Se solicitó la eliminación de los

roles de este usuario por

encontrarse en otra dependencia

de la entidad

7.125.394 NJCADENAC Se retiró de BD-DIB el 8 de

octubre de 2018

38.287.404 OSANCHEZ No se encuentran en la DB- DIB

por no tener roles asignados

52.979.785 ATORRESA No se evidencia el tipo de

vinculación del usuario con la

entidad según las bases

suministradas por la DIT, la

Se retiró de BD- DIB el 8 de

octubre de 2018

52.186.429 BVARGASH Se retiró de BD- DIB el 8 de

octubre de 2018

Página 16 de 43

71-F.05 V.5

80.492.116 CRODRIGUEZ DIB, la STH SAC (Planta,

contratista, auditor de la CB,

auditor de la OCI)

Se retiró de BD- DIB el 8 de

octubre de 2018

20.584.784 DMARTIN Se retiró de BD- DIB el 8 de

octubre de 2018

39.735.440 GGARNICA Se retiró de BD- DIB el 8 de

octubre de 2018

79.431.621 GPIMENTELHCELIS Se retiró de BD- DIB el 8 de

octubre de 2018

80.050.521 HCELIS Se retiró de BD- DIB el 8 de

octubre de 2018

19.382.242 JAESPITIA Se retiró de BD- DIB el 8 de

octubre de 2018

79.965.574 JCORTESM Se retiró de BD- DIB el 8 de

octubre de 2018

19.498.828 LFERNANDEZ Se retiró de BD- DIB el 8 de

octubre de 2018

51.688.294 MARBELAEZ Se retiró de BD- DIB el 8 de

octubre de 2018

51.670.544 MECASTROD Se retiró de BD- DIB el 8 de

octubre de 2018

41.774.363 MIBELTRAN Se retiró de BD- DIB el 8 de

octubre de 2018

36.170.452 MMEDINA Se retiró de BD- DIB el 8 de

octubre de 2018

39.753.849 MMUNERA Se retiró de BD- DIB el 8 de

octubre de 2018



Analizada la observación de respuesta, la Dirección de Impuestos de Bogotá no allegó

argumentos técnicos y evidencias que desvirtúen el hallazgo, por el contrario, confirma las

inconsistencias evidenciadas, por lo cual se ratifica lo evidenciado.

• Se evidenció diferencias en la información entre las diferentes bases como, por

ejemplo:

USUARIO/ CÉDULA BASE DIT BASE DIB BASE STH

AHRODRIGUEZ CC 93413852 CC 93413861 CC 93413852

Página 17 de 43

71-F.05 V.5


IMPUESTOS:

Nos permitimos aclarar que en el archivo enviado el 3 de octubre a la Oficina Asesora de

Control Interno, la cédula relacionada por la DIB fue 93413852, la cual corresponde a la

identificación correcta del funcionario.



Se aclara que, en la base de datos de la DIT, la cédula asociada al usuario

AHRODRIGUEZ es 93413861, este es un ejemplo de varias inconsistencias relacionadas

con las cédulas de los usuarios:

USUARIO/ CÉDULA BASE DIT BASE DIB BASE STH

AHRODRIGUEZ CC 93413861 CC 93413852 CC 93413852

ORUEDA CC 79879510

CC 79878510 CC 79878510 CC 79878510

EROMERO CC 13615197

CC 13015197 CC 13615197 CC13615197

Por lo que se ratifica lo evidenciado.

• Al realizar el análisis de los roles y privilegios asociados a los usuarios se

identificó que no se puede establecer de forma clara y precisa lo que hace cada uno

de los roles en los diferentes módulos del sistema de información tributaria SIT II.

Así, por ejemplo:

Tabla 8: Información de Roles y Privilegios.

Módulos ¿Qué hace? Roles Privilegios

SIT 2 -

Gestión

Tributaria

Módulo que apoya el manejo

estratégico de la entidad, sus

herramientas tienen por objetivo plasmar los procesos de planear,

organizar, registrar, evaluar y controlar de forma integral la

gestión para todas las áreas,

empezando desde la planeación, organización, control, hasta el

registro y seguimiento a la

gestión. Este componente lo conforman diferentes módulos

comunes a todas las áreas de la

DIB y otros módulos que son específicos de las mismas.

R_ST_AGT_ADMINISTRADOR Usuario de reparto con privilegios de

administración

R_ST_JUR_ADMINISTRADOR Usuario de jurídica con privilegios de

administración

R_ST_JUR_OPERADOR Usuario de jurídica con privilegios de operador

R_ST_JUR_CONSULTOR Usuario de jurídica con privilegios de consultor

R_ST_COB_ADMINISTRADOR Usuario de cobranzas con privilegios de

administrador

R_ST_CAC_OPERADOR Usuario de cobranzas con privilegios de operador

R_ST_CAC_CONSULTOR Usuario de cobranzas con privilegios de

consultar

R_ST_WF_ADMINISTRADOR Usuario de WorkFlow con privilegios de

administrador

R_ST_WF_CONSULTOR Usuario de WorkFlow con privilegios de

consultor

Página 18 de 43

71-F.05 V.5


IMPUESTOS:

Sin embargo y en atención a la afirmación “Al realizar el análisis de los roles y privilegios

asociados a los usuarios se identificó que no se puede establecer de forma clara y precisa

lo que hace cada uno de los roles en los diferentes módulos del sistema de información

tributaria SIT II”. En atención a la solicitud realizada por la Oficina de Control Interno,

se envió mediante correo electrónico del 28 de diciembre de 2018, la ampliación de la

información referente a la descripción de los roles solicitados por dicha oficina.



Efectivamente, en reunión llevada a acabo con la Oficina Administración Funcional del

Sistema, se solicitó la ampliación de la descripción de los privilegios de los diferentes

roles utilizados en el SIT II, dicha Oficina manifestó que no se contaba con la información

al detalle solicitado, por lo que la Oficina de Control Interno requirió que por lo menos se

enviara la descripción de los privilegios de los roles de administradores, dicha información

fue recibida en un correo electrónico del 28 de diciembre del 2018, en este sentido se

realizó el análisis a la información enviada, donde se evidenció que no es claro lo que hace

los roles de administrador en los diferentes módulos del SIT II, así mismo no fue posible

identificar, guía, instructivo, manual del sistema o cualquier documento donde se pueda

establecer de forma precisa y clara los privilegios de todos los roles del sistema.

• Según la base de información de la Dirección de Informática y Tecnología, se

identifica 22 tipos de roles de administrador, asignados a 121 usuarios, de los

cuales se encuentran activos 115, así mismo como se mencionó anteriormente no

es posible determinar los privilegios de los roles en el sistema SIT II:

Tabla 9: Información de Roles y Privilegios.

No. USUARIO ROL ESTADO No. USUARIO ROL ESTADO

1 ABROJAS R_ST_ACT_ADMINISTRADOR OPEN 62 JPACHECOC R_ST_ACT_ADMINISTRADOR OPEN

2 AEGONZALEZ R_ST_AGT_ADMINISTRADOR OPEN 63 JPCHAVEZ R_ST_AEX_ADMINISTRADOR OPEN

3 AGUERRA R_ST_AEX_ADMINISTRADOR OPEN 64 JPCORTES R_ST_AEX_ADMINISTRADOR OPEN

4 AHERRERA R_ST_DYC_ADMINISTRADOR OPEN 65 JROMERO R_ST_AEX_ADMINISTRADOR OPEN

5 AIREVELO R_ST_PGE_ADMINISTRADOR OPEN 66 JRUIZ R_ST_AEX_ADMINISTRADOR OPEN

6 ALOZANO R_ST_ACT_ADMINISTRADOR OPEN 67 JRUIZA R_ST_AEX_ADMINISTRADOR OPEN

7 AMAYORGA R_ST_REC_VDT_ADMINISTRADOR OPEN 68 JSHERRERA R_ST_AEX_ADMINISTRADOR OPEN

8 AMONTANA R_ST_AEX_ADMINISTRADOR OPEN 69 JTELLO R_ST_REC_VDT_ADMINISTRADOR OPEN

9 AMORERA R_ST_AEX_ADMINISTRADOR OPEN 70 JWOROZCO R_ST_ACT_ADMINISTRADOR OPEN

10 AMOYA R_ST_AEX_ADMINISTRADOR OPEN 71 LJPENA R_ST_ACT_ADMINISTRADOR OPEN

11 APAEZ R_ST_AEX_ADMINISTRADOR OPEN 72 LMDIAZ R_ST_AGT_ADMINISTRADOR OPEN

12 APARDO R_ST_ACT_ADMINISTRA_ANT OPEN 73 LORTEGON R_ST_ACT_ADMINISTRADOR OPEN

13 APPARRA R_ST_AGT_ADMINISTRADOR OPEN 74 LSMOYANO R_ST_AEX_ADMINISTRADOR EXPIRED

14 ASANABRIA R_ST_REC_ADMINISTRADOR EXPIRED 75 LVELA R_ST_AEX_ADMINISTRADOR OPEN

Página 19 de 43

71-F.05 V.5

15 ASEGURA R_ST_AEX_ADMINISTRADOR OPEN 76 LVISCAINO R_ST_AEX_ADMINISTRADOR OPEN

16 ATORRESS R_ST_ACT_ADMINISTRADOR OPEN 77 MACEVEDO R_ST_ACT_ADMINISTRADOR OPEN

17 AVASQUEZ R_ST_AEX_ADMINISTRADOR EXPIRED 78 MBOHORQUEZ R_ST_AEX_ADMINISTRADOR OPEN

18 BPULIDO R_ST_CER_ADMINISTRADOR OPEN 79 MCCARDENAS R_ST_AGT_ADMINISTRADOR OPEN

19 CBERNAL R_ST_AEX_ADMINISTRADOR OPEN 80 MCHIQUIZA R_ST_AEX_ADMINISTRADOR OPEN

20 CBOHORQUEZ R_ST_ACT_ADMINISTRADOR OPEN 81 MDGUERRERO R_ST_AEX_ADMINISTRADOR OPEN

21 CHERNANDEZ R_ST_AEX_ADMINISTRADOR OPEN 82 MECASTROD R_ST_ACT_ADMINISTRADOR EXPIRED

22 CMJIMENEZ R_ST_AEX_ADMINISTRADOR OPEN 83 MGORTIZ R_ST_ACT_ADMINISTRA_ANT OPEN

23 CPMARTINEZ R_ST_REC_VDT_ADMINISTRADOR OPEN 84 MGSILVA R_ST_AEX_ADMINISTRADOR OPEN

24 CSIERRA R_ST_716_ADMINISTRADOR OPEN 85 MJAUREGUI R_ST_CCC_ADMINISTRADOR OPEN

25 CURIBE R_ST_AEX_ADMINISTRADOR OPEN 86 MJVELASQUEZ R_ST_ACT_ADMINISTRA_ANT OPEN

26 DAPONTE R_ST_AEX_ADMINISTRADOR OPEN 87 MRAMIREZ R_ST_AEX_ADMINISTRADOR EXPIRED

27 DCASTANEDA R_ST_AEX_ADMINISTRADOR OPEN 88 MRAMIREZS R_ST_AEX_ADMINISTRADOR OPEN

28 DCPINZON R_ST_AEX_ADMINISTRADOR OPEN 89 MTORRESB R_ST_AEX_ADMINISTRADOR OPEN

29 DCRINCON R_ST_AGT_ADMINISTRADOR OPEN 90 MXACERO R_ST_AEX_ADMINISTRADOR OPEN

30 DMESA R_ST_AEX_ADMINISTRADOR OPEN 91 NJBELTRAN R_ST_AEX_ADMINISTRADOR OPEN

31 DORTEGA R_ST_AEX_ADMINISTRADOR OPEN 92 NMORA R_ST_AEX_ADMINISTRADOR OPEN

32 DPARRAO R_ST_AGT_ADMINISTRADOR OPEN 93 NPERILLA R_ST_AEX_ADMINISTRADOR OPEN

33 DPPINEROS R_ST_AEX_ADMINISTRADOR OPEN 94 OBRINEZ R_ST_AEX_ADMINISTRADOR OPEN

34 DRONCANCIO R_ST_ACT_ADMINISTRA_ANT OPEN 95 OCAJALE R_ST_AEX_ADMINISTRADOR OPEN

35 DZERDA R_ST_AEX_ADMINISTRADOR OPEN 96 OLOCHOA R_ST_AEX_ADMINISTRADOR OPEN

36 EJSIERRA R_ST_AEX_ADMINISTRADOR OPEN 97 ONORIEGA R_ST_ACT_ADMINISTRADOR OPEN

37 EREINA R_ST_AEX_ADMINISTRADOR OPEN 98 ORODRIGUEZ R_ST_COB_ADMINISTRADOR OPEN

38 EVIASUZ R_ST_AEX_ADMINISTRADOR OPEN 99 OSAENZ R_ST_AEX_ADMINISTRADOR OPEN

39 EYCRUZ R_ST_ACT_ADMINISTRA_ANT OPEN 100 OVILLANUEVA R_ST_AEX_ADMINISTRADOR OPEN

40 FACUNA R_ST_AEX_ADMINISTRADOR OPEN 101 RALOPEZ R_ST_AEX_ADMINISTRADOR OPEN

41 FFORERO R_ST_AEX_ADMINISTRADOR OPEN 102 RAVENDANO R_ST_AEX_ADMINISTRADOR OPEN

42 FMALAGON R_ST_JUR_ADMINISTRADOR OPEN 103 RELOPEZ R_ST_REC_VDT_ADMINISTRADOR OPEN

43 GBRICENO R_ST_ACT_ADMINISTRA_ANT OPEN 104 RFONSECA R_ST_AGT_ADMINISTRADOR OPEN

44 GNARANJO R_ST_ACT_ADMINISTRADOR OPEN 105 RKORTIZ R_ST_CER_ADMINISTRADOR OPEN

45 GORTIZ R_ST_AEX_ADMINISTRADOR OPEN 106 RMANCERA R_ST_AEX_ADMINISTRADOR OPEN

46 HPERDOMO R_ST_AEX_ADMINISTRADOR OPEN 107 RMENDEZ R_ST_REC_VDT_ADMINISTRADOR OPEN

47 HPINEDA R_ST_AEX_ADMINISTRADOR OPEN 108 RRAMIREZ R_ST_AEX_ADMINISTRADOR OPEN

48 ICHAVEZ R_ST_AEX_ADMINISTRADOR OPEN 109 RRIOSC R_ST_ACT_ADMINISTRADOR OPEN

49 JACHAPARRO R_ST_AEX_ADMINISTRADOR OPEN 110 RRODRIGUEZ R_ST_ACT_ADMINISTRA_ANT OPEN

50 JASILVA R_ST_AEX_ADMINISTRADOR OPEN 111 SCORREAL R_ST_AEX_ADMINISTRADOR OPEN

51 JBARBOSA R_ST_AGT_ADMINISTRADOR OPEN 112 SMEZA R_ST_AEX_ADMINISTRADOR OPEN

52 JCABALLERO R_ST_ACT_ADMINISTRADOR OPEN 113 SMMORALES R_ST_AGT_ADMINISTRADOR OPEN

53 JCCASTANED

A R_ST_AEX_ADMINISTRADOR OPEN 114 SPLANDINEZ R_ST_AEX_ADMINISTRADOR OPEN

54 JCGONZALEZS R_ST_ACT_ADMINISTRA_ANT OPEN 115 TCASTANO R_ST_ACT_ADMINISTRADOR OPEN

55 JCORREA R_ST_CCC_ADMINISTRADOR OPEN 116 WATORRES R_ST_AEX_ADMINISTRADOR OPEN

56 JEROMERO R_ST_AEX_ADMINISTRADOR OPEN 117 WBOHORQUEZ R_ST_AEX_ADMINISTRADOR OPEN

57 JFRICO R_ST_AGT_ADMINISTRADOR OPEN 118 WROJAS R_ST_REC_VDT_ADMINISTRADOR OPEN

58 JGONZALEZO R_ST_AEX_ADMINISTRADOR OPEN 119 YGUARDIA R_ST_AEX_ADMINISTRADOR OPEN

59 JJGARZON R_ST_ACT_ADMINISTRADOR OPEN 120 YMOYANO R_ST_AEX_ADMINISTRADOR OPEN

60 JMORILLO R_ST_AEX_ADMINISTRADOR OPEN 121 YSILVA R_ST_AEX_ADMINISTRADOR EXPIRED

61 JOLAYA R_ST_AEX_ADMINISTRADOR OPEN


IMPUESTOS:

Por otro lado “Según la base de información de la Dirección de Informática y Tecnología,

se identifica 22 tipos de roles de administrador, asignados a 121 usuarios, de los cuales se

encuentran activos 115, así mismo como se mencionó anteriormente no es posible

determinar los privilegios de los roles en el sistema SIT II”. En atención a la solicitud

realizada por la Oficina de Control Interno, se envió mediante correo electrónico del 28 de

Página 20 de 43

71-F.05 V.5

diciembre de 2018, la ampliación de la información referente a la descripción de los roles

solicitados por dicha oficina.



Efectivamente, en reunión llevada a cabo con la Oficina Administración Funcional del

Sistema, se solicitó la ampliación de la descripción de los privilegios de los diferentes

roles utilizados en el SIT II, dicha Oficina manifestó que no se contaba con la información

al detalle solicitado, por lo que la Oficina de Control Interno requirió que por lo menos se

enviara la descripción de los privilegios de los roles de administradores, dicha información

fue recibida en un correo electrónico del 28 de diciembre del 2018, en este sentido se

realizó el análisis a la información enviada, donde se evidenció que no es claro lo que hace

los roles de administrador en los diferentes módulos del SIT II, así mismo no fue posible

identificar, guía, instructivo, manual del sistema o cualquier documento donde se pueda

establecer de forma precisa y clara los privilegios de todos los roles del sistema.

Objetivo 2: Verificar la gestión de roles ante las situaciones administrativas de los

usuarios (funcionarios, contratistas y Entes de Control).

De la base suministrada por la Subdirección de Talento Humano que cuenta con un total

de 1807 registros, correspondientes a 664 funcionarios vinculados a la Dirección de

Impuestos de Bogotá y en la que se determina los encargos y retiros definitivos de la

entidad de las vigencias 2016, 2017 y 2018, se tomó una muestra probabilística a

conveniencia de 25 usuarios de los cual se analizó: “Fecha de retiro”, “Resolución y fecha

de nombramientos”, “diligenciamiento del formato Constancia de Entrega 85.F-10 y

“firma la declaración de aceptación de la política de seguridad y privacidad de la

información”, esto con el propósito de evaluar el cumplimiento de los controles

establecidos en el Manual del Subsistema de Gestión de Seguridad de la Información,

MN-05, el cual establece en el numeral 5.2: “Cada servidor público o contratista firma la

declaración de aceptación de la política de seguridad y privacidad de la información en el

momento de su posesión o firma del contrato de servicios. es prerrequisito para la

autorización de acceso a los recursos informáticos” y “La Dirección de Informática y

Tecnología (DIT) diseña e implementa procedimientos que cancelan automáticamente los

accesos a los recursos tecnológicos tales como sistemas de información y red corporativa,

a los servidores públicos o contratistas que finalizan la relación laboral o contractual con

la entidad. Para este fin se definió el formato Constancia de Entrega (85-F.10)”. De la

verificación realizada se destaca lo siguiente, (ver tabla 10):

Página 21 de 43

71-F.05 V.5

Tabla 10: Resultados del análisis revisión de carpetas de hojas de vida de los funcionarios

de la DIB.

USUARIO OBSERVACIONES

MRAMIREZS

• Según la corroboración realizada en las carpetas de la hoja de vida del funcionario desde el

22/02/2018 con la Resolución SHD-000123, se encuentra en encargo en la Oficina Asesora de

Planeación, en la base de la STH, no registra esta novedad administrativa.

• Firma el formato “Constancia de Entrega” 85-F.10, el 24/04/2018, es decir 61 días posterior al

nombramiento del encargo. en el capítulo correspondiente a la entrega de usuarios y claves, no

se registran la fecha de la solicitud.

• Firma la declaración de aceptación de la política de seguridad y privacidad de la información el

23/06/2016.

JGMARTINEZ

• El 28/02/2017 fue nombrado en encargo en la Oficina General de Fiscalización,


04/02/2017

• Firma el formato “Constancia de Entrega” 85-F.10, el 15/03/2017, en el capítulo

correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la

solicitud.

• El 28/10/2018 es nombrado en la Oficina General de Fiscalización con la Resolución SHD-

000173 y no se evidencia diligenciamiento del formato de “Constancia de Entrega” 85-F.10

ALOZANOM

• En las vigencias 2016, 2017 y 2018 el funcionario se encuentra en permiso sindical.

• No se evidencia firma de la declaración de aceptación de la política de seguridad y privacidad

de la información

CC 19444588


3/11/2015

• Resolución DGC-000164 del 12/03/2017, de aceptación de renuncia a partir de 01/04/2017



solicitud.

• Este usuario no se encuentra relacionado en la base de información de la Dirección de

Informática y Tecnología - DIT.

CC 19461642

• Resolución DGC-000184 del 27/03/2017, de aceptación de renuncia a partir de 04/04/2017

• Firma el formato “Constancia de Entrega” 85-F.10, el 6/04/2017, 2 días después de la renuncia

efectiva, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la

fecha de recibido de la solicitud.


3/11/2015

• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.

ABROJAS

• Resolución de nombramiento como directivo de la Oficina de Recursos Tributarios SHD-

000487- 04/07/2017.


30/10/2017

• Firma el formato “Constancia de Entrega” 85-F.10, el 15/08/2017, 42 días después de la

renuncia efectiva, en el capítulo correspondiente a la entrega de usuarios y claves, no se

registran la fecha de recibido de la solicitud.

CC 51690760

• Nombrado en encargo a la Oficina Análisis y Control de Riesgos, Resolución 000632 del

29/10/2015.

• No se evidencia el formato de “Constancia de Entrega” 85-F.10, del encargo 2015.

• No se evidencia resolución de terminación de encargo de la Oficina de Análisis y Control de

Riesgos.

• Nombramiento en la Oficina de Fiscalización Grandes Contribuyentes con la Resolución DGC

Página 22 de 43

71-F.05 V.5

0000314 del 9/05/2018,

• No se evidencia el formato de “Constancia de Entrega” 85-F.10 del encargo 2018.


• La información fue recopilada de la carpeta del funcionario, la Subdirección de Talento

Humano no reportó las novedades de las vigencias 2016 y 2017.

DORTIZ

• No se evidencia la declaración de aceptación de la política de seguridad y privacidad de la

información firmada por la funcionaria.

• La cédula número 51717974, en la base de información de la Subdirección de Talento Humano

pertenece a Maria Patricia Rueda Guerrero, y en las bases de la DIT y la DIB, esta cedula está

asociada a la funcionaria Diana del Pilar Ortiz Bayona

FGUIZA

• Fue nombrada mediante Resolución No 434 del 25/11/2016 comisión como directivo en la

Subdirección de Determinaciones.

• Firma el formato “Constancia de Entrega” 85-F.10, el 5/12/2016, 10 días después del

nombramiento, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran

la fecha de recibido de la solicitud.


02/05/2012

CC 51789051


26/11/2014

• Resolución de aceptación de renuncia DGC-000533 del 18/07/2017





CC 51931449

• Retiro de la entidad el 15/11/2016

• Firma el formato “Constancia de Entrega” 85-F.10, el 15/12/2016, 30 días después del retiro de

la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la


• Se evidencio oficio del 5/12/2016 solicitando la legalización del formato 85-F.10 por no

entregar de forma oportuna.


01/02/2016


FBAEZ

• Es nombrada jefe de Oficina de Cuenta Corriente el 23/03/2016

• Resolución de aceptación de renuncia de jefe el 12/10/2016.

• No se evidencia formato de “Constancia de Entrega” 85-F.10, de la renuncia al cargo como

jefe de oficina.

• Es encargada como profesional grado 24 en la Oficina General de Fiscalización el 4/09/2017.




CC 52693320

• Resolución de renuncia No.185, del 21/04/2016 como jefe de oficina de recursos tributarios.

• Comunicación de la Resolución No. 181 nombramiento como asesora del 19/04/2016.

• No se evidencia el formato de “Constancia de Entrega” 85-F-10, de la renuncia al cargo como

jefe de Oficina de Recurso de Tributario.

• Renuncia al cargo de asesor el 21/11/2017, no se evidencia formato de “Constancia de

Entrega” 85-F.10.


24/04/2016


CC 52848442 • Renuncia el 09/08/2018, se evidencia carta de aceptación de la renuncia con cordis

Página 23 de 43

71-F.05 V.5

2018EE147028, no se encuentra en la carpeta la resolución de aceptación de la renuncia





01/12/2015.


CC 79529694

• Carta de renuncia con fecha del 20/04/2018, Resolución 394 de 20/06/2018 de aceptación de la

renuncia a partir del 03/07/2018.



fecha de recibido de la solicitud

• No se evidencia firma de la declaración de aceptación de la política de seguridad y privacidad

de la información.


CC 79865384

• Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016.

• Firma el formato “Constancia de Entrega” 85-F.10, el 11/08/2016 3 días después del retiro de

la entidad.

• Firma de la declaración de aceptación de la política de seguridad y privacidad de la

información, no registra fecha.


CC 1032461967

• Renuncia radicada 2017ER17593 del 01/03/2017 a partir del 06/03/2017

• Se acepta renuncia a partir del 06/03/2017 con Resolución SDH 000127 del 02/03/2017,

Resolución fue notificada el 22/03/2017, de la Oficina de Notificaciones y Documentación

Fiscal.

• Nombramiento con la Resolución SDH 000031 del 28/02/2017, en la Oficina de Fiscalización.

• No se evidencia firma el formato “Constancia de Entrega” 85-F.10.


información, el 16/02/2017.


CC 1093217031

• No se encuentra la declaración de aceptación de la política de seguridad y privacidad de la

información.

• Con oficio con cordis 2017ER59328 del 13/06/2017 renuncia a partir del 04/07/2017

• Resolución de aceptación de la renuncia SDH 000128 del 29/06/2017.


la entidad

• El folio 47 corresponde a un encargo de otra funcionaria no pertenece a la hoja de vida de

Victoria Eugenia Hoyos.

CC 51867708

• Fue nombrada subdirectora de Determinaciones con la Resolución SDH-000054 del

28/01/2016.



• La Resolución SDH000377 de aceptación de la renuncia fue firmada el 04/10/2016.

• Firma el formato “Constancia de Entrega” 85-F.10, el 20/10/2016, 16 días después de la firma

de aceptación de la renuncia al cargo como directivo, en el capítulo correspondiente a la

entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud


CC 52110359

• Resolución DGC-000447 del 20/06/2017 de aceptación de renuncia, a partir del 03/07/2017




Página 24 de 43

71-F.05 V.5

• Firma la declaración de aceptación de la política de seguridad y privacidad de la información,

el 03/11/2015.


CC 79634917

• Resolución de nombramiento en la Dirección Distrital de Presupuesto – DDP, Resolución

DGC-000429 del 29/06/2018. (la Resolución no se encuentra en la carpeta del funcionario).

• No se evidenció el formato “Constancia de Entrega” 85-F.10.

• En la base de funcionarios suministrada por la Subdirección de Talento Humano, no reporta el

encargo a la DDP.


el 13/11/2013.

• Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB

CC 79865384

• Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016





no registran la fecha.

• El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB

CC1010171617

• Resolución SDH 000442 del 30/11/2016, de aceptación de renuncia al cargo.





el 12/07/2016


LRODRIGUEZG

• Con el oficio 2017ER43210 del 28/04/2017 renuncia a cargo a partir del 08/05/2017



solicitud.


el 06/03/2017

CC 1093217031

• Resolución SDH 000128 del 29/06/2017 de aceptación de la renuncia a partir del 04/07/2017


correspondiente a la entrega de usuarios y claves, se registra la fecha del 10/07/2017.



IMPUESTOS:

De los errores relacionados en la Tabla 10 se encontraron 2 inconsistencias en cédula de

ciudadanía, las cuales se ajustarán con la DIT. Los demás relacionados en la tabla no se

encuentran en la BD-DIB por no tener roles de SIT II asignados.

USUARIO OBSERVACIONES RESPUESTA - DIB

CC 19461642

Resolución DGC-000184 del 27/03/2017, de aceptación de renuncia a partir de

04/04/2017 No se encuentran en la

BD-DIB por no tener roles

asignados en SIT II

Firma el formato “Constancia de Entrega” 85-F.10, el 6/04/2017, 2 días después de la renuncia efectiva, en el capítulo correspondiente a la entrega de usuarios y claves, no se


Firma la declaración de aceptación de la política de seguridad y privacidad de la

Página 25 de 43

71-F.05 V.5

información el 3/11/2015

Este usuario no se encuentra relacionado en las bases de información de la DIT y la DIB.

CC 51690760

Nombrado en encargo a la Oficina Análisis y Control de Riesgos, Resolución 000632

del 29/10/2015.

Está en el listado con error en cc, se ajustará con DIT

No se evidencia el formato de “Constancia de Entrega” 85-F.10, del encargo 2015.

No se evidencia resolución de terminación de encargo de la Oficina de Análisis y

Control de Riesgos.

Nombramiento en la Oficina de Fiscalización Grandes Contribuyentes con la

Resolución DGC 0000314 del 9/05/2018,

No se evidencia el formato de “Constancia de Entrega” 85-F.10 del encargo 2018.

Este usuario no se encuentra relacionado en las bases de información de la DIT y la

DIB.

La información fue recopilada de la carpeta del funcionario, la Subdirección de

Talento Humano no reportó las novedades de las vigencias 2016 y 2017.

DORTIZ

No se evidencia la declaración de aceptación de la política de seguridad y privacidad

de la información firmada por la funcionaria.

La cédula número 51717974, en la base de información de la Subdirección de Talento Humano pertenece a Maria Patricia Rueda Guerrero, y en las bases de la DIT y la DIB,

esta cedula está asociada a la funcionaria Diana del Pilar Ortiz Bayona

CC 51789051



No se encuentran en la

BD-DIB por no tener roles

asignados en SIT II

Resolución de aceptación de renuncia DGC-000533 del 18/07/2017

Firma el formato “Constancia de Entrega” 85-F.10, el 04/08/2017, 10 días después del

nombramiento, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud.


DIB.

CC 51931449

Retiro de la entidad el 15/11/2016

Firma el formato “Constancia de Entrega” 85-F.10, el 15/12/2016, 30 días después del retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se


Se evidencio oficio del 5/12/2016 solicitando la legalización del formato 85-F.10 por

no entregar de forma oportuna.




CC 52693320

Resolución de renuncia No.185, del 21/04/2016 como jefe de oficina de recursos

tributarios.

Comunicación de la Resolución No. 181 nombramiento como asesora del 19/04/2016.

No se evidencia el formato de “Constancia de Entrega” 85-F-10, de la renuncia al cargo como jefe de Oficina de Recurso de Tributario.

Renuncia al cargo de asesor el 21/11/2017, no se evidencia formato de “Constancia de

Entrega” 85-F.10.

Firma la declaración de aceptación de la política de seguridad y privacidad de la información el 24/04/2016


DIB.

CC 52848442 Renuncia el 09/08/2018, se evidencia carta de aceptación de la renuncia con cordis

2018EE147028, no se encuentra en la carpeta la resolución de aceptación de la renuncia


retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud.


información el 01/12/2015.


DIB.

CC 79529694 Carta de renuncia con fecha del 20/04/2018, Resolución 394 de 20/06/2018 de

Página 26 de 43

71-F.05 V.5

aceptación de la renuncia a partir del 03/07/2018.


registran la fecha de recibido de la solicitud

No se evidencia firma de la declaración de aceptación de la política de seguridad y privacidad de la información.


DIB.

CC 79865384

Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016.

Firma el formato “Constancia de Entrega” 85-F.10, el 11/08/2016 3 días después del retiro de la entidad.

Firma de la declaración de aceptación de la política de seguridad y privacidad de la

información, no registra fecha.


CC

1032461967

Renuncia radicada 2017ER17593 del 01/03/2017 a partir del 06/03/2017

Se acepta renuncia a partir del 06/03/2017 con Resolución SDH 000127 del

02/03/2017, Resolución fue notificada el 22/03/2017, de la Oficina de Notificaciones y Documentación Fiscal.

Nombramiento con la Resolución SDH 000031 del 28/02/2017, en la Oficina de

Fiscalización.

No se evidencia firma el formato “Constancia de Entrega” 85-F.10.

Firma de la declaración de aceptación de la política de seguridad y privacidad de la



CC 51867708

Fue nombrada subdirectora de Determinaciones con la Resolución SDH-000054 del

28/01/2016.

Firma de la declaración de aceptación de la política de seguridad y privacidad de la información, el 16/02/2017.

La Resolución SDH000377 de aceptación de la renuncia fue firmada el 04/10/2016.

Firma el formato “Constancia de Entrega” 85-F.10, el 20/10/2016, 16 días después de

la firma de aceptación de la renuncia al cargo como directivo, en el capítulo

correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de

la solicitud


DIB. 51867708

CC 52110359

Resolución DGC-000447 del 20/06/2017 de aceptación de renuncia, a partir del

03/07/2017


retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se registran la fecha de recibido de la solicitud.




CC 79634917

Resolución de nombramiento en la Dirección Distrital de Presupuesto – DDP,

Resolución DGC-000429 del 29/06/2018. (la Resolución no se encuentra en la carpeta del funcionario).

No se evidenció el formato “Constancia de Entrega” 85-F.10.

En la base de funcionarios suministrada por la Subdirección de Talento Humano, no

reporta el encargo a la DDP.




DIB

CC 79865384

Renuncia al cargo 2016ER68685 del 02/08/2016 A partir del 08/08/2016


retiro de la entidad, en el capítulo correspondiente a la entrega de usuarios y claves, no se

Página 27 de 43

71-F.05 V.5


Firma la declaración de aceptación de la política de seguridad y privacidad de la información, no registran la fecha.

El usuario no se encuentra relacionado en las bases de información de la DIT y la DIB

CC1010171617

Resolución SDH 000442 del 30/11/2016, de aceptación de renuncia al cargo.




información, el 12/07/2016


CC

1093217031

Resolución SDH 000128 del 29/06/2017 de aceptación de la renuncia a partir del

04/07/2017

Firma el formato “Constancia de Entrega” 85-F.10, el 10/07/2017, en el capítulo

correspondiente a la entrega de usuarios y claves, se registra la fecha del 10/07/2017.






hallazgo. Por lo anterior, lo observado se mantiene.

Es importante mencionar que lo evidenciado en la Tabla 10: “Resultados del análisis

revisión de carpetas de hojas de vida de los funcionarios de la DIB.”, hace referencia a que

independientemente que los funcionarios les fueran o no asignados roles en el sistema SIT

II, estos funcionarios deben tener asignado un usuario y en ninguna de las dos bases de

datos se encuentra esta información. En total son 17 funcionarios sin usuario.

3.1.2. Se observa incumplimiento en los controles establecidos para suspender los

accesos a los sistemas de información de la Secretaría Distrital de Hacienda,

ante las novedades administrativas.

Según lo observado en las Tabla 7: Resultados del análisis revisión de carpetas de hojas de

vida de los funcionarios de la DIB, ante la novedad administrativa de retiro o cambio de

área funcional, el control establecido para interrumpir el acceso a los sistemas de

información es el formato de “Constancia de Entrega 85-F.10”, sin embargo, en la muestra

tomada de 25 funcionarios, 23 de ellos ante las novedades administrativas, debían

diligenciar el formato 85-F.10, se identificó que 14 formatos fueron diligenciados días

después de la fecha de retiro de la entidad o de cambio de área y 5 no diligenciaron el

formato. De los 14 formatos recibidos por la Subdirección de Talento Humano, 20 de ellos

en el capítulo correspondiente a la entrega de usuarios y claves no se diligenció la fecha de

desactivación.

Página 28 de 43

71-F.05 V.5

Así mismo se evidencia que las novedades administrativas no son informadas a la

Dirección de Informática y Tecnología, de forma oportuna, por parte de la Subdirección de

Talento Humano, según lo observado únicamente informa el periodo de vacaciones de los

funcionarios, esto contraviene lo establecido en el en el Manual del Subsistema de Gestión

de Seguridad de la Información, MN-05, en el Numeral 5.2 “Control de Acceso y Uso de

los Sistemas de Información” en el parágrafo 4, establece “La Dirección de Informática y

Tecnología (DIT) diseña e implementa procedimientos para que, ante una novedad

administrativa, los derechos de acceso sean suspendidos durante el tiempo que se presente

la novedad”.

De la base suministrada por la Subdirección de Asuntos Contractuales, cuenta con un total

de 89 registros, correspondientes a 72 contratistas vinculados a la Dirección de Impuestos

de Bogotá, se tomó una muestra probabilística a conveniencia de 17 contratistas de los cual

se analizó: existencia de cláusula de confidencialidad de la información en los contratos,

informe final des supervisor y el diligenciamiento del formato “Constancia de Entrega

85.F-10”, esto con el propósito de evaluar la eficacia de los controles establecidos en el

Manual del Subsistema de Gestión de Seguridad de la Información, MN-05, el cual

establece en el numeral 5.2: “Cada servidor público o contratista firma la declaración de

aceptación de la política de seguridad y privacidad de la información en el momento de su

posesión o firma del contrato de servicios. es prerrequisito para la autorización de acceso

a los recursos informáticos” y “La Dirección de Informática y Tecnología (DIT) diseña e

implementa procedimientos que cancelan automáticamente los accesos a los recursos

tecnológicos tales como sistemas de información y red corporativa, a los servidores

públicos o contratistas que finalizan la relación laboral o contractual con la entidad. Para

este fin se definió el formato Constancia de Entrega (85-F.10)”, De lo cual se destaca lo

siguiente, (ver tabla 11):

Tabla 11: Resultados del análisis revisión de carpetas de los contratistas de la DIB

CONTRATISTA

Fecha de

terminación

del contrato

OBSERVACIÓN

CC 79622044 21-04-2017

• No se identifica el usuario en las bases de la DIT y la DIB

• El contrato cuenta con la cláusula de confidencialidad

• En la carpeta no se observó el informe final del supervisor.

• No se observó formato “Constancia de Entrega” 85-F.10

CC 93406130 31-12-2017

• No se identifica el usuario en las bases de la DIT y la DIB

• El contrato cuenta con cláusula de confidencialidad

• Se observa informe final del supervisor, no se especifica la entrega de

usuario y claves.


CC 91105714 31-12-2017 • El usuario se encuentra relacionado en las bases de la DIT y la DIB.

Página 29 de 43

71-F.05 V.5



usuario y claves


CC 1072650607 29/07/2018

• El usuario no se encuentra relacionado en las bases de la DIT y la DIB.


• No se observó informe final del supervisor


CC 93402096 23/05/2017




usuario y claves


CC 79876179 25/05/2017




usuario y claves


CC 52460872 21/05/2017




usuario y claves


CC 79245606 24/05/2017




usuario y claves


CC 80525907 31-12-2017



• No se observa informe final del supervisor


CC 79539812 31-12-2018 • El usuario no se encuentra relacionado en las bases de la DIT y la DIB.


CC 1015433647 31-12-2018 • El usuario no se encuentra relacionado en las bases de la DIT y la DIB.






CC 52331552 31-12-2017

• El usuario se encuentra relacionado en las bases de la DIT y la DIB.



usuario y claves


Página 30 de 43

71-F.05 V.5

CC 52851102 31-12-2017




usuario y claves


CC 52718213 10-05-2018




usuario y claves


CC 79442095 06-01-2017




usuario y claves



IMPUESTOS:

De acuerdo con los resultados consignados en la Tabla 11, en lo concerniente a la DIB, se

informa que los usuarios no aparecen en la BD-DIB por no tener roles asignados.

Nuevamente se hace énfasis en que, no a todo usuario bien sea funcionario de planta,

contratista o planta provisional se le asignan roles en SIT, esto depende de las funciones

inherentes al cargo y a las asignadas por el jefe inmediato.





hallazgo. Por lo anterior, lo observado se mantiene.

Es importante mencionar que lo evidenciado en la Tabla 11: “Resultados del análisis

revisión de carpetas de los contratistas de la DIB.”, hace referencia a que

independientemente que los contratistas les fueran o no asignados roles en el sistema SIT

II, estos funcionarios deben tener asignado un usuario y en ninguna de las dos bases de

datos se encuentra esta información. En total son 17 funcionarios sin usuario.

3.1.3. Incumplimiento del numeral 5.2 del Manual del Subsistema de Gestión de Seguridad

de la Información, MN-05

Página 31 de 43

71-F.05 V.5

Según el análisis realizado a los resultados de la evaluación de la muestra tomada de 17

funcionarios vinculados como contratistas a la Dirección de Impuestos de Bogotá y de los

cuales ya se encuentran en un estado finalizado, se identificó lo siguiente:

• No se diligenció en ninguno de los casos el formato “Constancia de Entrega 85-

F.10”, así como tampoco se identificó en el informe final del supervisor

información referente a paz y salvo en cuanto a usuarios y claves.

• En las carpetas de los contratistas no se identifica firma de la declaración de

aceptación de la política de seguridad y privacidad de la información, aunque se

identificó que en todos los contratos se encuentra establecida una cláusula de

confidencialidad de la información.

De lo anterior se evidencia que se está incumpliendo con el control establecido en el

Manual del Subsistema de Gestión de Seguridad de la Información, MN-05, el cual

establece en el numeral 5.2: “Cada servidor público o contratista firma la declaración de

aceptación de la política de seguridad y privacidad de la información en el momento de su

posesión o firma del contrato de servicios. es prerrequisito para la autorización de acceso

a los recursos informáticos” y “La Dirección de Informática y Tecnología (DIT) diseña e

implementa procedimientos que cancelan automáticamente los accesos a los recursos

tecnológicos tales como sistemas de información y red corporativa, a los servidores

públicos o contratistas que finalizan la relación laboral o contractual con la entidad. Para

este fin se definió el formato Constancia de Entrega (85-F.10)

Objetivo 3: Verificar el uso de los privilegios y roles asignados a los usuarios de los

aplicativos de la Dirección de Impuestos de Bogotá

Para verificar el uso de los privilegios y roles asignados a los usuarios de los aplicativos de

la Dirección de Impuestos de Bogotá, se solicitó a la Dirección Informática y Tecnología,

scripts de 37 usuarios, de las actuaciones de los roles y privilegios en los módulos del SIT

II de los años 2016 al 2018.

Del análisis realizado a las Scripts se evidenció lo siguiente, (ver tabla 9):

• Se recibieron 9 scripts de los 37 solicitados, estos nueve scripts son los únicos que

cuentan con logs de auditoría en el periodo solicitado del año 2016 al año 2018.

• Se evidencia que no se cuenta con un mecanismo efectivo de control que permita

identificar y monitorear las actuaciones de los usuarios en el sistema SIT II.

• Se identificó que 2 usuarios con scripts registraron actividades en el sistema SIT II,

después de su retiro de la entidad y cambio de oficina.

• 2 usuarios no registran scripts desde el año 2015.

• Según la información requerida, se realizó un cruce entre las bases de datos de los

scripts y los roles asignados a los usuarios, no fue posible identificar si los roles

asociados a los usuarios corresponden a las actuaciones en el SIT II.

Página 32 de 43

71-F.05 V.5

• Del total de los13 usuarios que no se registra información de usuario y scripts en el

SIT II, 8 tienen vinculación como contratistas y 5 vinculación de planta.

Tabla 12: Resultados del análisis de los Scripts por usuario

CEDULA USUARIO

BASE DIT/DIB VINCULACIÓN

SITUACIÓN

ADMINISTRATIVA ACTUACIONES SEGÚN SCRIPTS

51867708 N/A PLANTA Renuncia definitiva

-La DIT, no reporta Scripts del usuario

-No se encuentra relacionado el usuario del funcionario en

las bases de la DIT y la DIB

51931449 SZORRO PLANTA Se retira de la entidad

el 15/11/2016

-No se registra actividad en el sistema después de la renuncia

-No se encuentra relacionado en las bases de la DIT y la

DIB.

1010171617 N/A PLANTA Renuncia 18/10/2016


-El usuario no se encuentra relacionado en la base de datos

de la DIT y la DIB

20533153 ABROJAS PLANTA Renuncia a la planta el 15/08/2017

La DIT, no reporta Scripts del usuario

39538031 MRSANCHEZ PLANTA Renuncia a planta

26/09/2017 La DIT, no reporta Scripts del usuario

51740491 FGUIZA PLANTA Renuncia al cargo como profesional

29/09/2017

La DIT, no reporta Scripts del usuario

1093217031 N/A PLANTA Renuncia

04/07/2017

-La DIT, no reporta Scripts del usuario -El usuario no se encuentra relacionado en la base de datos

de la DIT y la DIB

52263736 VQUINTERO PLANTA

Vacaciones 20/12/2017 al

14/01/2018

del 01/08/2018 al 26/08/2018

Solo tiene logs del año 2015

1015403825 LRODRIGUEZG PLANTA Retiro de la entidad

desde el 08/05/2017 Solo tiene logs del año 2015

52693320 CMARTINEZF PLANTA Retiro de la entidad

desde el 21/11/2017

Registra actividades en el sistema el 22/11/2017 un día después del retiro definitivo de la entidad. Modificaciones

en las tablas del sistema,

ST_ST_SOPORTE_TRIBUTARIO Columna ESTADO ST_ST_SOPORTE_TRIBUTARIO Columna ID_OBJETO

ST_ST_SOPORTE_TRIBUTARIO Columna ID_SUJETO

ST_ST_SOPORTE_TRIBUTARIO Columna ID_SOPORTE_TRIBUTARIO

ST_ACT_ACTO_GENERAL Columna

CODIGO_ESTADO_EMISION No registra formato de entrega 85-F.10

En la base de la DIT ni de la DIB se registra el Usuario

79622044 N/A CONTRATISTA Terminación de

contrato el 21/04/2017


-El usuario no se encuentra relacionado en la base de datos de la DIT y la DIB





de la DIT y la DIB

91105714 FMARTINEZB CONTRATISTA Terminación de

contrato el 31/12/2017 -La DIT, no reporta Scripts



-La DIT, no reporta Scripts -El usuario no se encuentra relacionado en la base de datos

de la DIT y la DIB

79876179 N/A CONTRATISTA Terminación de -La DIT, no reporta Scripts

Página 33 de 43

71-F.05 V.5

contrato el 02/08/2017 -El usuario no se encuentra relacionado en la base de datos de la DIT y la DIB



-La DIT, no reporta Scripts


de la DIT y la DIB





de la DIT y la DIB




de la DIT y la DIB

52331552 ICARRERO CONTRATISTA Terminación de


52851102 NROJAS CONTRATISTA Terminación de


52718213 LOLARTE CONTRATISTA Terminación de


79442095 SABELTRAN CONTRATISTA Terminación de


52848442 N/A PLANTA Renuncia

10/08/2018


de la DIT y la DIB

19354426 ALOZANOM PLANTA Activo, permiso

sindicar permanente

-La DIT, no reporta Scripts,

Este usuario pertenece a un funcionario que se encuentra en la Oficina de Gestión del Servicio, pero no se encuentra

relacionado en la base de datos de la DIB

51717974 PRUEDA PLANTA Activa -La DIT, no reporta Scripts

1024460926 EMENDOZA PLANTA

No registra

situaciones

administrativas

En la base de la DIT no registra que roles pertenecen al

usuario:

los Scripts registra actuaciones en las siguientes tablas: ST_ST_SOPORTE_TRIBUTARIO Columna

ID_SOPORTE_TRIBUTARIO,

ST_ST_SOPORTE_TRIBUTARIO Columna ESTADO,

ST_ST_SOPORTE_TRIBUTARIO Columna ID_OBJETO,

ST_ST_SOPORTE_TRIBUTARIO Columna ID_SUJETO,

ST_ST_SOPORTE_TRIBUTARIO Columna PLAN_ID_PLANTILLA,

ST_ST_SOPORTE_TRIBUTARIO Columna

NUMERO_SOPORTE_TRIBUTARIO, ST_ST_SOPORTE_TRIBUTARIO Columna

NOMBRE_CONTRIBUYENTE,

ST_ST_SOPORTE_TRIBUTARIO Columna DIRECCION_NOTIFICACION,


NUMERO_IDENTIFICACION, ST_ST_SOPORTE_TRIBUTARIO Columna

VALOR_PAGAR, ST_ST_SOPORTE_TRIBUTARIO

Columna VALOR_INTERES_MORA, ST_ST_SOPORTE_TRIBUTARIO Columna

VALOR_TOTAL_PAGADO,

ST_ST_SOPORTE_TRIBUTARIO Columna VALOR_SANCION_DECLARADO,

ST_ST_SOPORTE_VEHICULO Columna

VALOR_DERECHOS_SEMAFORIZACION, ST_ST_SOPORTE_VEHICULO Columna

SOTR_ID_SOPORTE_TRIBUTARIO,

ST_ST_SOPORTE_TRIBUTARIO Columna TELEFONO_CONTRIBUYENTE,


TIPO_IDENTIFICACION,

Página 34 de 43

71-F.05 V.5

ST_ST_SOPORTE_TRIBUTARIO Columna CODIGO_MUNICIPIO,


TIPO_ACTUACION ST_ST_SOPORTE_TRIBUTARIO Columna

VALOR_TOTAL_CON_PAGO_VOL,

ST_ST_SOPORTE_TRIBUTARIO Columna VALOR_PAGO_VOLUNTARIO,


VALOR_SALDO_CARGO, ST_ST_SOPORTE_TRIBUTARIO Columna

TIPO_SOPORTE, ST_ST_SOPORTE_TRIBUTARIO

Columna ORIGEN, ST_ST_SOPORTE_TRIBUTARIO Columna DIGITO_VERIFICACION_STICKER,

ST_ACT_ACTO_GENERAL Columna

CODIGO_ESTADO_EMISION, ST_RITP_PREDIO Columna ID_MUTACION, ST_RITP_PREDIO Columna

ID_PREDIO, ST_RITP_PREDIO Columna INSCRITO

ST_RITP_PREDIO Columna ID_DIR_STANDARD, ST_RITP_PREDIO Columna CHIP, ST_RITP_PREDIO

Columna MATRICULA_INMOBILIARIA,

ST_RITP_PREDIO Columna DIRECCION_OFICIAL, ST_RITP_PREDIO Columna CEDULA_CATASTRAL,

ST_RITP_PREDIO Columna ESTADO,

ST_RITP_PREDIO Columna ID_PUBLICO

51690760 GNARANJO PLANTA Ingresa a la DIB el

09/05/2018 Registra actuaciones en el sistema desde el 04/07/2018

53066582 N/A PLANTA Activo



79634917 LCASTRO PLANTA Ingresa a la DDP el

26/06/2018

Las actuaciones en el sistema se registran hasta el

28/06/2018, es decir 2 días después de empezar el encargo en la DDP. se observa actividades en las tablas del sistema

ST_ST_SOPORTE_TRIBUTARIO Columna ID_SUJETO,

ST_ST_SOPORTE_TRIBUTARIO Columna ID_SOPORTE_TRIBUTARIO,

ST_ST_SOPORTE_TRIBUTARIO Columna ESTADO,

ST_ST_SOPORTE_TRIBUTARIO Columna ID_OBJETO, ST_ACT_ACTO_GENERAL Columna

CODIGO_ESTADO_EMISION,

ST_ACT_ACTO_GENERAL Columna FECHA_FIRMEZA

No se encuentra relacionado en la base de las DIT y la DIB

en la revisión realizada a la hoja de vida no se evidencia la entrega con el formato 85-F.10, así mismo no se encuentra

relacionado en la base de datos de TH las situaciones

administrativas como encargos

195213 MRAMIREZS PLANTA ENCARGO en la

OAP desde el

22/02/2018


52580136 FBAEZ PLANTA ENCARGO desde el

28/12/2017 -La DIT, no reporta Scripts

1072650607 JSFAJARDO CONTRATISTA Terminación de contrato el 29/07/2018

-Según los Scripts solo tuvo actuaciones en el sistema el

14/06/2018 -No se encuentra relacionado en las bases de datos de la

DIB y la DIT

79539812 N/A CONTRATISTA

En ejecución.

Terminación de contrato el 31/12/2018



1015433647 KGARIZA CONTRATISTA En ejecución. Las últimas actuaciones en el sistema se registran el

Página 35 de 43

71-F.05 V.5

Terminación de contrato el 31/12/2018

12/12/2018, en las bases de la DIB y la DIT no específica que roles tienen asociado el usuario

52031081 YCARDENAS CONTRATISTA

En ejecución.

Terminación de




IMPUESTOS:

Respecto a la información consignada en la tabla 12 es importante anotar lo siguiente:

✓ La DIB procede a solicitar a la DIT, creación o eliminación de los roles a un usuario,

en SIT II, una vez recibe el formato 65.F-14 correctamente diligenciado y remitido

por el jefe o funcionario delegado para tal fin.

✓ Dentro de las actuaciones operativas que tienen algunos usuarios, especialmente

Atención al Contribuyente, se encuentra la generación de las declaraciones asistidas,

lo cual tiene su trazabilidad en el sistema. Para el caso del usuario EMENDOZA, es

claro que la acción que ejecutó fue la “emisión de declaración asistida” como apoyo a

un contribuyente, de acuerdo con sus funciones.



Es importante resaltar que se debe establecer las medidas pertinentes para establecer los

logs de auditorías en el aplicativo SIT II, ya que como se evidenció en la Tabla 12:

“Resultados del análisis de los Scripts por usuario”, no es posible verificar la actuación de

los usuarios en el aplicativo SIT II.

Así mismo se verifica en el Módulo de Actos Oficiales-MAO del SIT II, por la opción de

consulta de Actos, información de 23 personas que fueron contratadas por la Dirección de

Impuestos de Bogotá, durante las vigencias 2016, 2017 y 2018.

a) Al realizar la consulta en el Módulo de Actos Oficiales, con el número de identificación

(cédula de ciudadanía) de cada contratista de la DIB, se encontró que para 16 de ellos el

Módulo no arroja información de permisos actualmente activos, 6 de ellos no tienen

contrato vigente con la Secretaría, así mismo ninguno de los 6 están relacionados en las

bases de usuarios de la DIT y la DIB.

Página 36 de 43

71-F.05 V.5

Tabla 13: Relación de contratistas con accesos inactivos al MAO - SIT II

CC NOMBRE CONTRATISTA VIGENCIA FECHA

TERMINACION

REGISTRO

TERMINACIÓN

93406130 ELKIN GEOVANNY LLACHE SUAREZ 2017 31/12/2017 POR PLAZO

80525907 FABIAN ARTURO ROJAS PUERTAS 2017 31/12/2017 POR MUTUO ACUERDO

79622044 FABIO HUMBERTO HERNANDEZ MARTINEZ 2016 21/04/2017 POR PLAZO

79245606 HUMBERTO GARCIA ALDANA 2016 24/05/2017 CON INFORME

79876179 JAVIER DEAZA CHAVES 2016 25/05/2017 CON INFORME

52460872 MARTHA SOLEDAD HERNANDEZ MORA 2016 21/05/2017 CON INFORME

En tanto que los 10 contratistas restantes cuentan con contrato que finaliza el 31/12/2018 y

los roles se encuentran activos (OPEN), relacionados a continuación:

Tabla 14: Relación de contratistas con accesos activos al MAO - SIT II

CC NOMBRE CONTRATISTA VIGENCIA CONTRATO

VIGENTE

ESTADO EN

SISTEMA

52966455 ADRIANA MARCELA ROSAS GUALDRON 2017-2018 SI OPEN

79201354 ALVARO RAFAEL PACHECO PIMIENTA 2018 SI OPEN

1018405682 ARLEY ADOLFO GUERRA ROMERO 2017-2018 SI OPEN

5908333 CESAR AUGUSTO QUIMBAYO MONJE 2017-2018 SI OPEN

80146650 EDGAR HERNANDO CALVO BERMUDEZ 2017-2018 SI OPEN

52718213 LINA MARIA OLARTE LAMPREA 2017-2018 SI OPEN

64571973 MARELIS DEL CARMEN GENES DIAZ 2017-2018 SI OPEN

30080838 MARIA JAQUELINE VELASQUEZ PARRADO 2017-2018 SI OPEN

79442095 SERGIO AUGUSTO BELTRAN MARTIN 2016-2017-2018 SI OPEN

52031081 YANETH CARDENAS SANCHEZ 2017-2018 SI OPEN

b) De otra parte, los 7 contratistas restantes (de los 23 analizados) cuentan con permisos

vigentes, evidenciado en el Módulo al consultar su identificación encontrando

información activa:

Esta información activa se explica en razón a que las 7 personas se encuentran actualmente

vinculados a la DIB con contratos que vencen el 31 de diciembre de 2018.

Página 37 de 43

71-F.05 V.5

Tabla 15: Contratistas con accesos activos al MAO - SIT II estado activo. IDENTIFICACION

CONTRATISTA NOMBRE CONTRATISTA VIGENCIA

CONTRATO

VIGENTE

93402096 CESAR AUGUSTO SERNA MEJIA 2016 SI

52331552 ISABEL CARRERO ROJAS 2017-2018 SI

52851102 NIDIA SOLANGE ROJAS MANCILLA 2017-2018 SI

51918270 MARIA SIRLEY PIÑEROS ARDILA 2017-2018 SI

1010188994 ANDRES FELIPE ROMERO GOMEZ 2017-2018 SI

91105714 FERNANDO MARTINEZ BLANCO 2017-2018 SI

52179678 ALEXSANDRA TORRES SUAREZ 2017-2018 SI

c) El Módulo presenta una alerta denominada “Es funcionario responsable no existe” que,

según aclara el área de Administración Funcional del Sistema, corresponde a los

contratistas que se han retirado de la entidad y a los cuales se inactiva los permisos y

roles asignados inicialmente, aunque nunca se suprime el usuario del historial del

Sistema de la entidad.

Para este grupo de contratistas a su vez, se realiza consulta del intervalo de tiempo en el

cual no estuvieron vinculados a la entidad, encontrando que en efecto no se generaron

actos durante ese lapso.


IMPUESTOS:

Referente a las tablas 13, 14 y 15 estamos de acuerdo con lo consignado en las mismas por

parte de la Oficina Asesora de Control Interno, lo cual evidencia el cumplimiento del

procedimiento.

Objetivo 4: Evaluar los riesgos asociados a los procesos CPR-39. Administración del

Sistema de Información Tributaria y CPR-65 Gestión de Servicios de TIC.

Página 38 de 43

71-F.05 V.5

Evaluados los riesgos asociados a los procesos CPR-39: Administración del Sistema de

Información Tributaria y CPR-65: Gestión de Servicios de TIC, no se observó que se

encuentre identificados riesgos asociados a la administración de usuarios, roles y

contraseñas.

Tabla 16: CPR-39: Administración del Sistema de Información Tributaria y CPR-65:

Gestión de Servicios de TIC PROCESO /

ACTIVIDAD RIESGO CAUSA CONTROL

CPR-39 -

Administración del

Sistema de

Información

Tributaria

SDH253R -

Disponer en

producción un

servicio

inconsistente.:

SDH032C - Elaboración incompleta de la

especificación o cambios en las versiones

que afectan el resultado

SDH136CT - Definir RQS y

documentación de especificaciones

funcionales por parte de los usuarios

SDH520C - No contar con ambientes

(desarrollo, pruebas, preproductivo y

producción) nivelados.

SDH526CT - Solicitar la

implementación o disposición de

ambientes de prueba nivelados.

SDH521C - No contar con un plan de

pruebas definido, para determinar y

resolver al 100% las dificultades que

puedan presentarse.

SDH527CT - Verificar la inclusión de

un plan de pruebas en la especificación

funcional.

SDH254R - No

proveer la necesidad

determinada por el

área de origen.:

SDH036C - Cambios normativos en

materia tributaria

SDH341CT - Revisar permanentemente

los cambios normativos en materia

tributaria

SDH518C - Fallas en la comunicación

entre las áreas involucradas tanto de

origen como de destino.

SDH524CT - Realizar mesas de trabajo

SDH522C – La dirección de informática

y tecnología no ejecuta el requerimiento

SDH200CT - Hacer seguimiento a los

requerimientos

CPR-65 -

GESTIÓN DE

SERVICIOS DE

TIC

SDH046R -

Demoras en el

cubrimiento de la

necesidad prevista

en el plan anual de

adquisición.:

SDH559C - Retrasos y demoras en la

asignación de presupuesto y la etapa

precontractual.

SDH477CT - Verificar la inclusión de

las necesidades de contratación de la

DIT en el plan anual de adquisiciones de

la SDH.

SDH580CT - Solicitar aprobación de

vigencias futuras.

SDH181R - No

disponibilidad del

software de atención

de mesa de

servicios.:

SDH206C - Indisponibilidad en el

servidor donde reside el software de

gestión de la mesa de servicio.

SDH290CT - Registrar manualmente el

requerimiento.

SDH230R - Retrasos

en la atención de los

requerimientos o

incidentes.:

SDH066C - Volúmenes muy altos en las

solicitudes e incidentes por parte de los

usuarios internos o externos.

SDH143CT - Priorizar la atención de

solicitudes e incidentes.

SDH068C - Deficiencia en la gestión de

los casos de parte del analista que presta

soporte.

SDH585CT - Validar la documentación

requerida contractualmente en el perfil

del analista.

En cuanto a las actividades de control establecidas en el en el procedimiento 65-P-06

“Administración de Cuentas de Usuarios” para la administración de cuentas de usuarios: se

identificó lo siguiente:

Página 39 de 43

71-F.05 V.5

Política de Operación: “La Subdirección de Talento Humano enviará periódicamente vía

correo electrónico a la cuenta de creación usuarios [email protected] con

copia a la subdirección de Servicios de TIC, las novedades de vacaciones de los usuarios

de la entidad y se procederá a crear un tiquete para desactivar/activar las cuentas de

usuario durante ese periodo.”

Se verificó que la única novedad administrativa de la cual se genera desactivación directa

de los usuarios en el Sistema corresponde al periodo de vacaciones.

Política de Operación: “El usuario que se desvincule de la entidad o que efectúa cambio

de cargo en la SDH, debe gestionar el formato 85-F.10 “Constancia de Entrega”, una vez

recibido el formato en la subdirección de servicios de TIC, se procede a crear un tiquete

en la herramienta de gestión de mesa de servicios para la desactivación del perfil en la red

informática de la SDH e igualmente con la inactivación de todos los perfiles de las

aplicaciones asociadas al usuario.”

Según lo evidenciado en la revisión de las hojas de vidas de los funcionarios y en las

carpetas de los contratistas (Ver tablas 7 y 8), no se evidencia un estricto cumplimiento de

lo establecido en esta política de operación, ya que en unos casos el formato 85-F.10 es

firmado después de la fecha de término de la situación administrativa o en otros casos no

es diligenciado, así mismo no se define el término para el diligenciamiento en el

procedimiento.

Se adelanto la verificación y evaluación de las responsabilidades en materia de riesgos

teniendo como punto de partida lo señalado en el Procedimiento 85-P-01 Gestión de

situaciones administrativas y la articulación transversal con el procedimiento 65-P-06

Administración de Cuentas de Usuario, de esta labor se obtiene las siguientes

conclusiones:

No se pudo evidenciar acciones relacionadas con desactivar/activar las cuentas de usuario,

derivadas de las situaciones administrativas señaladas en la actividad 3. Tramitar situación

administrativa (Profesional Universitario / Profesional Especializado): comisiones,

licencias, permisos y vacaciones.

Para el diligenciamiento del formato 85-F.10 “Constancia de Entrega” se observó las

siguientes inconsistencias:

• Respecto de las acciones de las situaciones administrativas diferentes al disfrute de

vacaciones que impliquen cambio de dependencia o ausencia temporal de la

entidad se debe diligenciar el formato 85-F.10 Constancia de Entrega, El formato

mailto:[email protected]

Página 40 de 43

71-F.05 V.5

diligenciado no es verificado respecto de la autenticidad de las firmas, pues la

entidad no cuenta con un registro de las firmas autorizadas que permita cotejar su

autenticidad.

• El formato una vez diligenciado se archiva en la carpeta de historia laboral. No se

tiene un repositorio de las imágenes del formato radicadas que facilite la

verificación posterior del diligenciamiento tanto por parte de la dependencia como

de terceros involucrado, igualmente no se numeran los mismos.

• En el formato 85-F-.10 “Constancia de Entrega”, no se registra la situación

administrativa, que da origen a su diligenciamiento, de manera tal que cumpla con

el objetivo para el cual fue creado.


IMPUESTOS:

El Proceso CPR-39 tiene identificados riesgos de corrupción asociados a la administración

de usuarios, roles y contraseñas, lo cual se evidencia en el en el mapa de riesgos de

corrupción 2019, publicado en la página web de la entidad, los cuales fueron revisados en

mesa de trabajo con la Oficina de Análisis y Control de Riesgos el 21 de enero de 2019.

Se adjuntan información referente a las acciones asociadas al control.

Acciones Asociadas al Control

Periodo de Ejecución Acciones Registro

Revisar y validar roles y

privilegios solicitados, así como

el funcionario autorizado para

dicha solicitud

Trimestral

Recibir la solicitud de asignación de roles y

privilegios y registrar el formato de

administración de cuentas de usuarios 65- F.14,

confrontando la información contra la matriz de

referencia donde se encuentran establecidos los

roles por oficinas.

Formato de administración de

cuentas de usuarios 65- F.14.

Correos electrónicos de

personal autorizado.

Designar los funcionarios a

cargo del trámite de roles y

privilegios de acceso al Sistema

de Información Tributaria

Continuo Esta designación del funcionario se realiza una

sola vez, y se cambia solo de ser necesario. Correo Electrónico

Restringir el número de

funcionarios a cargo de la

administración del MAO

Continuo

Designar un funcionario para el manejo de roles

de administración del MAO (Módulo de Actos

Oficiales) y otro funcionario como Backup de

esta función.

Correo Electrónico

Por lo anteriormente expuesto, este Despacho, solicita a la Oficina de Control Interno

retirar los hallazgos descritos, los cuales se encuentran en cabeza de la Oficina

Administración Funcional del Sistema.

Página 41 de 43

71-F.05 V.5



Una vez realizada la revisión de la matriz de riesgos de corrupción se observa la

identificación del riesgo asociado a la administración de usuarios y roles con el CPR-39

Administración del Sistema de Información Tributaria, por lo cual se rectifica lo señalado,

sin embargo las áreas responsables de la administración de usuarios, claves, contraseñas,

roles y privilegios (Dirección de Gestión Corporativa, Dirección de Informática y

Tecnología, Dirección de Impuestos de Bogotá) de la entidad deben conocer, socializar y

empoderarse de los riesgos de la administración de usuarios.

Página 42 de 43

71-F.05 V.5

4. CONCLUSIONES

4.1. Los mecanismos de control para la desactivación de roles y usuarios son

deficientes en cuanto a las situaciones administrativas como licencias, encargos,

incapacidades prolongadas y desvinculación de la entidad.

4.2. La articulación de los procesos de vinculación y desvinculación de funcionarios de

planta, funcionarios de entes de control y contratistas se encuentran desarticulado

del proceso de gestión de usuarios.

4.3. La falta de identificación de riesgos asociados a la administración de usuarios

permite que los controles establecidos sean deficientes y por lo tanto aumenta la

vulnerabilidad del sistema SIT II.

4.4. No es posible determinar los privilegios de cada unos de los roles asociados al

Sistema SIT II.

4.5. Se encuentran definidos 22 tipos de roles de administrador asociados a 121

usuarios, de los cuales 115 continúan activos, no es posible identificar los

privilegios de estos roles en el sistema SIT II.

5. SUGERENCIAS / RECOMENDACIONES

5.1. Se recomienda a la Dirección de Informática y Tecnología, la Dirección de

Impuestos de Bogotá, la Dirección de Gestión Corporativa y la Subdirección de

Asuntos Contractuales, crear los mecanismos de articulación de los procesos con el

propósito administrar de forma segura las bases de usuarios

5.2. Depurar en el sistema SIT II, los usuarios de la Dirección de Impuestos de Bogotá.

5.3. Se recomienda determinar los privilegios relacionados a los roles de los usuarios

en cada uno de los módulos de SIT II.

5.4. El Manual del Subsistema de Gestión de Seguridad de la Información MN-05, Los

procedimientos de Administración de Cuentas de Usuario 65-P-06 y el

Procedimiento Gestión de Situaciones Administrativas 85-P-01, no definen el

término para que los funcionarios o contratistas que se retiren de la entidad o estén

en una situación administrativa como encargo, comisión o traslado entre otras,

diligencien el formato Constancia de Entrega, 85-F.10, se recomienda definir un

término de entrega con el fin de salvaguardar los bienes y la información de la

Secretaría Distrital de Hacienda, ya que como se observó en el análisis de

Página 43 de 43

71-F.05 V.5

información los usuarios han permanecido con usuarios, claves activas tiempo

después de haberse retirado de la entidad.

5.5. Se recomienda establecer el mecanismo de reporte de novedades de las situaciones

administrativas de forma oportuna a la Dirección de Informática y Tecnología por

parte de la Subdirección de Talento Humano, con el propósito de salvaguardar la

información de la Secretaría Distrital de Hacienda.

5.6. La Dirección de Informática y Tecnología (DIT) debe diseñar e implementar los

controles que cancelen automáticamente los accesos a los recursos tecnológicos

tales como sistemas de información y red corporativa, a los servidores públicos o

contratistas que finalizan la relación laboral, contractual o otras situaciones

administrativas, como: encargos, licencias, comisiones, entre otras.

5.7. Se recomienda asignar número de radicación CORDIS al formato 85-F.10, lo que

permitirá generar traza e imagen del documento.

5.8. Se sugiere a la Subdirección de Talento Humano, Subdirección de Asuntos

Contractuales, la Dirección de Informática y Tecnología y a la Dirección de

Impuestos de Bogotá, de forma conjunta identificar los riesgos asociados a la

administración de los usuarios, roles, privilegios y claves, y así mismo diseñar los

controles pertinentes.

Documents

INFORME FINAL AUDITORÍA INTERNA DE GESTIÓN AL CPR 39. …shd.gov.co/shd/sites/default/files/files/despacho... · 2019-06-06 · página 1 de 43 71-f.05 v.5 secretarÍa distrital